Ein Jahr DSGVO: Welche Folgen hatten die Regelungen?

Datenschutzgrundsatzverordnung – dahinter versteckt sich die Umsetzung einer EU-Richtlinie. Ende Mai 2018 lief die Übergangsfrist für die Umsetzung aus. Entsprechend hohe Wellen schlug die DSGVO. Gerade Vereine oder Ärzte, die bisher keine größere Erfahrung mit IT-lastigen Themen hatten, sahen sich Hürden gegenüber – und fürchteten sich im DSGVO-Dschungel zu verlieren.

Wie sieht das Fazit nach mehr als einem Jahr Datenschutzgrundsatzverordnung aus? Kurz vor Ablauf der Frist ging die Befürchtung um, dass viele Unternehmen oder Vereine die Umsetzung der Verordnung nicht schaffen. Gleichzeitig wurde befürchtet, dass es direkt einen Tag nach Fristende zu heftigen Abmahnwellen kommt. Sind die Befürchtungen wahr geworden? Oder ist die DSGVO am Ende nur auf dem Papier so heftig gewesen – und in der Praxis halb so schlimm?

Marketing ist schwieriger geworden

Mit der Datenschutzgrundsatzverordnung hat der Gesetzgeber vor allem auf große Netzwerke und deren Datensammelwut abgezielt. Betroffen sind von den Regelungen alle Anbieter – wie Unternehmen, Vereine oder Freiberufler. Letztere in Gestalt von Ärzten, Steuerberatern oder Webkreativen.

Jeder, der im Internet auftritt, muss sich mit der DSGVO und deren Grundlagen beschäftigen.

Auch Unternehmen, die eher beratende Tätigkeiten ausüben, kommen einfach nicht um die Datenschutzgrundsatzverordnung herum.

IT-Consulting-Firmen und Marketing-Agenturen müssen, um sich und ihre Kunden keinen Risiken aussetzen, die DSGVO verstehen. Denn viele Bereiche des Online Marketings sind mit Inkrafttreten der Datenschutzregelungen schwieriger geworden.

Beispiel Newsletter: Bis Ende Mai 2018 war es oft üblich, die Einwilligung für den Versand von Newslettern mit einem „Giveaway“ schmackhaft zu machen.

In der DSGVO wird klar zu sogenannten Kopplungen Stellung bezogen. Die Einwilligung in die Erhebung personenbezogener Daten darf nicht mehr ohne Weiteres an Bedingungen geknüpft werden, wie den Erhalt einer bestimmten Leistung.

Dieses Kopplungsverbot lässt sich noch anhand eines anderen Beispiels illustrieren. Um den Bestellprozess abschließen zu können, soll der Kunde einer Datenverarbeitung zustimmen. Aber: Die Formulierungen der DSGVO sind in diesem Zusammenhang nicht ganz eindeutig, was immer noch für gewisse Unsicherheit sorgt.

Vorsicht beim Tracking zu Analysezwecken

Aber auch das Sammeln von Informationen zur Analyse der Nutzerzugriffe – das Marketing zieht hieraus wesentliche Informationen – ist heute nicht mehr so einfach. Was heißt das genau? Viele Shops und Website-Betreiber nutzten vor Ende Mai 2018 Analysetools zur Auswertung des Nutzerverhaltens auf ihrer Website. Mit der DSGVO galten auch hier neue Regelungen. Das Problem: Daten gingen an Server in die USA – also zu Drittanbietern. Rechtssicherheit entsteht hier durch den Verzicht auf die Tools. Oder durch den Abschluss von Auftragsverarbeitungsverträgen und eine Modifizierung der Tools.

EXTRA: Rechtlich absichern: Das braucht dein Blog [Checkliste]?

Webseiten-Gestaltung: Die neuen Cookie-Banner

Die DSGVO macht nicht nur vor dem Online Marketing halt. Betreiber von Onlineshops und Websites setzen seit Jahren auf Cookies. Mithilfe dieser kleinen Programme wird die Nutzung einer Website vereinfacht – etwa in Bezug auf die Eingabe von Formulardaten.

Aber: Cookies lassen sich auch zum Datensammeln benutzen und stehen seit Inkrafttreten der DSGVO unter Beobachtung.

Wer eine Website entwickelt und Cookies einsetzen will, muss inzwischen mehr Aufwand in Kauf nehmen. Das Problem: Es gibt nicht das eine Cookie. Heute existieren verschiedene Typen, von denen einige vom Standpunkt der DSGVO relevant sind – andere aber nicht. Relevanz haben:

1. Targeting-Cookies
2. Tracking-Cookies

In beiden Fällen raten Rechtsexperten dazu, entsprechende Cookie-Banner auf der Website einzubauen. Diese Banner enthalten Möglichkeiten für Nutzer, die Anwendung der Cookies einzuschränken – indem eine Zustimmung verweigert wird.

Rechtsunsicherheit sorgt für weitere Probleme

Zu klären bleibt abschließend – entweder über eine Präzisierung der Regelungen durch den Gesetzgeber oder über gerichtliche Entscheidungen – inwiefern der Einsatz solcher Programme überhaupt nach Art. 6 Abs. 1 DSGVO ein berechtigtes Interesse des Betreibers darstellt.

Für Deutschland kommt als weiteres Problem hinzu, dass einige Punkte der relevanten Richtlinien nicht umgesetzt sind. Es gibt letztlich eine gewisse Rechtsunsicherheit für Betreiber einer Website, die ihre Webseiten zukunftssicher gestalten wollen. Das Ganze führt am Ende dazu, dass die Gestaltung deutlich komplexer wird, da einfache Opt-Out Ansätze auf Dauer wahrscheinlich nicht mehr reichen werden. Hinsichtlich der Verwendung von Cookies bliebt abzuwarten, wie sich die Situation in naher Zukunft entwickeln wird.

Mehr Bürokratie im Geschäftsalltag

Grundlegender Ansatz der Datenschutzgrundsatzverordnung ist mehr Sicherheit für Verbraucher.

Nutzern sollten wieder Herr über ihre Daten werden.

Letztlich ist etwas eingetreten, was allen Beteiligten sauer aufstößt. Seit die DSGVO umgesetzt werden muss, gibt es einen „Papierkrieg“, sobald persönliche Daten erhoben werden.

Beispiel Vereinsarbeit: Sobald sich der Verein entscheidet, Bilder seiner Mitglieder im Internet zu veröffentlichen, braucht es eine separate Einwilligung. Landen Fotos auch auf Social-Media-Plattformen oder Videoportalen, braucht es sogar einen Hinweis über die Datenübertragung an Dritte. Ganz zu schweigen von den Datenschutzformularen, die jeder Verein braucht.

Dabei sind die meisten Vereinsvorstände im IT-Segment blutige Anfänger. Schnell tauchen Fragen auf zu:

• Datenschutzbeauftragtem
• Verarbeitungsverzeichnis
• Datenverarbeitung/Weitergabe an Dritte

Wie ist beispielswiese geregelt, dass Vereine Beiträge per Lastschrift einziehen? Probleme, die nicht nur Vereine oder andere Organisationen mit Ehrenamt haben. Unternehmen und Freiberufler – wie Ärzte – stehen vor den gleichen Hindernissen. Gleiches gilt übrigens auch für die öffentlichen Verwaltungen, die ebenfalls einige Hürden bei der Umsetzung der der DSGVO im Bereich E-Government zu überwinden haben. Dies betrifft vor allem die digitale Verwaltungsakte, die mittlerweile ebenfalls den Regelungen des Datenschutzes genügen muss.

Verarbeitungsverzeichnis: Eine weitere bürokratische Hürde

Gerade das Anlegen und Führen eines Verarbeitungsverzeichnisses kann zu einer echten Hürde werden – wenn im Unternehmen niemand entsprechendes Know-how oder Erfahrungen mitbringt. Denn die Erstellung des Verzeichnisses kann durchaus sehr aufwendig ausfallen.

Ebenfalls problematisch sind die Aufbewahrungspflichten. Der Mehraufwand durch die DSGVO ist in diesem Zusammenhang nicht zu unterschätzen. Gerade bei einem ausgeprägten Kunden-/Mandantenverkehr ist mit einer sehr umfassenden Arbeitsbelastung durch die Dokumentationspflichten zu rechnen. Letztlich empfinden nicht nur Vereine oder Firmen die Anforderungen der DSGVO oft als Papierkrieg.

Auch Verbraucher reagieren OFT genervt – und zeichnen alles ab, was ihnen vorgelegt wird.

Das dürfte sicher nicht die Absicht der Datenschutzverordnung gewesen sein. Insofern hat die DSGVO für alle Beteiligten – Datennutzer und Verbraucher – zu einem Mehraufwand geführt. Allerdings deutet derzeit nichts daraufhin, dass sich an diesem Zustand etwas ändern wird.

Der große Shut-Down ist ausgeblieben

Daten zu sammeln ist im Netz überall dort besonders verbreitet, wo Onlineservices angeboten werden. Beispiel Onlineshop: Kennt dieser die Bedürfnisse seiner Kunden genau, kann jedem ein individuelles Angebot genau zur richtigen Zeit gemacht werden. Voraussetzung ist natürlich, dass vorher relevante Daten gesammelt, verarbeitet und gespeichert werden. Mit der DSGVO ist dies schwieriger – wenn auch nicht unmöglich geworden. Unternehmen, die weiterhin Daten sammeln wollen, müssen einen höheren finanziellen Aufwand in Kauf nehmen. Angesichts dessen wurde bereits ein flächendeckender Shut-Down prognostiziert.

EXTRA: KPI-Auswertung: So arbeitest du mit Kennzahlen im Online-Marketing

Diese gravierenden Einschnitte sind ausgeblieben. Viele Seiten sind nach wie vor im Netz erreichbar. Einige haben ihre Leistungen angepasst, andere die Regelungen doch umgesetzt. In einigen Bereichen hat die DSGVO aber tatsächlich gravierende Auswirkungen gehabt. Im Segment der Online Games sind tatsächlich einige Titel vom europäischen Markt verschwunden. Betroffen waren/sind Indie-Titel. Für diese war das Kernproblem die Dokumentationspflicht, welche gerade bei Onlineservices nicht ganz einfach zu bewerkstelligen ist.

Aber: Inzwischen gibt es Erfahrung mit der Datenschutzverordnung und deren praktischer Umsetzung. Entwickler können ihre Games heute von der ersten Zeile Code an auf deren Anforderungen ausrichten.

Fazit: DSGVO war nicht der Super-GAU

Hinter der Verordnung (EU) 2016/679 verbirgt sich ein Dokument der EU, dass Ende Mai 2018 die Internetszene in Deutschland in helle Aufregung versetzt hat. Die Rede ist von der Blaupause für die DSGVO (Datenschutzgrundsatzverordnung). Im Mai 2018 endete die Übergangsfrist, über welche Unternehmen, Vereine oder Ärzte usw. Zeit hatten, die Maßnahmen der DSGVO umzusetzen. Zu den Herausforderungen gehörte nicht nur die Datenerhebung und Verarbeitung nur nach vorheriger Einwilligung. Gerade die Dokumentationspflicht ist eine Hürde. Einige Anbieter – gerade im Online-Gaming-Bereich – haben aufgrund dessen die Segel gestrichen. Der GAU, vor dem sich viele gefürchtet haben (inklusive riesiger Abmahnwelle), ist allerdings ausgeblieben. Nach einem Jahr haben viele Beteiligte Erfahrungen mit der DSGVO gesammelt und sich darauf eingestellt.

Du willst nichts mehr verpassen?